A Justiça dos Estados Unidos condenou, na última sexta-feira (20), a empresa israelense NSO Group por explorar uma brecha no WhatsApp para instalar um programa espião nos celulares dos usuários.
O processo contra a empresa foi aberto em 2019 pela Meta (na época chamada de Facebook), dona do WhatsApp. Ela acusou a NSO de invadir seus servidores sem autorização para instalar o programa espião Pegasus e monitorar 1.400 pessoas ilegalmente.
Segundo o WhatsApp, o Pegasus era instalado nos celulares das vítimas por meio do códigos maliciosos que a NSO enviou entre abril e maio de 2019 usando uma vulnerabilidade no recebimento de chamadas de vídeo do aplicativo.
A vítima não precisaria sequer atender a ligação para que o ataque fosse concluído
A falha foi corrigida em maio, quando o WhatsApp divulgou um alerta orientando que seus usuários atualizassem o app.
Em 2021, jornais do Reino Unido e dos EUA revelaram a existência de uma lista de 50 mil números que teriam sido alvos em potencial do Pegasus.
Eles pertenciam a jornalistas, ativistas de direitos humanos e dissidentes. Líderes de Estado, como o presidente da França, Emmanuel Macron, também apareciam na relação de possíveis vítimas.
VÍDEO: Veja quem são os líderes mundiais que estão na lista de espionagem do programa Pegasus
O NSO Group sempre negou as acusações, alegando que o Pegasus é vendido apenas para agências governamentais e que é usado somente para perseguir terroristas e grandes criminosos. E que não tem acesso aos dados de seus clientes.
- ENTENDA: o que é o Pegasus
Nesta sexta, a juíza Phyllis Hamilton, de Oakland, na Califórnia, considerou o grupo culpado por hacking e quebra de contrato, segundo a agência Reuters. O próximo passo será o julgamento dos prejuízos que teriam sido gerados pela espionagem ilegal.
A responsabilização da empresa que desenvolveu o programa espião foi comemorada pelo WhatsApp e bem recebida por especialistas em segurança digital, reportou a Reuters.
O presidente do WhatsApp, Will Cathcart, disse que a condenação é uma vitória para a privacidade.
"Passamos cinco anos apresentando nosso caso porque acreditamos firmemente que empresas de programas de espionagem não podem se esconder atrás de imunidade ou evitar arcar com as consequências pelas suas ações ilegais", escreveu Cathcart em um post na rede social X.
"Empresas de monitoramento deveriam saber que espionagem ilegal não será tolerada", acrescentou.
John Scott-Railton, pesquisador sênior do Citizen Lab, grupo de pesquisa de segurança digital da Universidade de Toronto, no Canadá, que foi o primeiro a falar sobre as suspeitas envolvendo o programa de espionagem Pegasus, em 2016, considerou que o julgamento foi um marco com "implicações enormes para a indústria da espionagem".
"Toda a indústria tem se escondido sob o que quer que os clientes façam com suas ferramentas não é responsabilidade delas", disse Scott-Railton à Reuters. A decisão desta sexta deixa claro que "o NSO Group é, de fato, responsável por infringir várias leis", completou.
O NSO Group também é alvo de outro processo aberto pela Apple.
Sucessão de suspeitas
Quando o WhatsApp acusou a NSO, o grupo disse que não atuava diretamente na aplicação de suas tecnologias, mas isso foi contestado pelo Facebook (que depois virou a Meta). A empresa dizia ter evidências de que a criadora do software de espionagem também auxiliou em sua operação.
Na época, Will Cathcart, diretor do WhatsApp, afirmou que o NSO Group não teria conseguido apagar seus rastros, embora o ataque tenha sido altamente sofisticado.
Segundo a Meta, pessoas ligadas ao NSO criaram contas no WhatsApp entre janeiro de 2018 e maio de 2019. Nesse período, essas pessoas aceitaram os termos de serviço do WhatsApp, o que significa que elas estariam sujeitas aos termos.
Ao violar os termos e atacar usuários do WhatsApp, o NSO Group, por meio de seus colaboradores, teria infringido também a legislação de crimes informáticos dos EUA.
O Pegasus ficou conhecido por supostamente ter sido utilizado para invadir o celular do fundador da Amazon, Jeff Bezos, em 2020. A suspeita é de que o programa de espionagem tenha sido instalado no iPhone de Bezos por meio de um vídeo enviado pelo WhatsApp.
Em 2021, o Forbidden Stories, organização sem fins lucrativos de Paris, e a Anistia Internacional, informaram a um grupo de jornais que tinham conseguido uma lista de 50 mil números que poderiam ter sido invadidos pelo Pegasus.
Na lista estavam números de jornalistas que trabalhavam para as agências Associated Press e Reuters, para os jornais "The Wall Street Journal", "The Financial Times" e "Le Monde" e para a rede CNN.
A Anistia Internacional afirmou que na lista também constava o número de telefone de Hatice Cengiz, a noiva do jornalista Jamal Khashoggi, assassinado no consulado da Arábia Saudita em Istambul em 2018 (o smartphone dela foi incluído no rol quatro dias depois do assassinato).
Dos 50 mil smartphones da lista da Forbidden Stories e da Anistia Internacional, 15 mil eram do México. Além do México, havia muitos números da Arábia Saudita e de outros países do Oriente Médio, além de França, Hungria, Índia, Azerbaijão, Cazaquistão e Paquistão, entre outros países.
A Anistia denunciava ataques a ativistas e jornalistas por meio do Pegasus havia pelo menos 3 anos. De acordo com um relatório do Citizen Lab de 2018, havia indícios de que o programa foi usado em 45 países, entre eles o Brasil.